配套文件7-电力监控系统安全防护评估规范

《电力监控系统安全防护评估规范》

介绍

目录二、评估规范主要内容

一、背景情况2

三、等级保护基本要求电网控制设备故障可能引发或扩大电网事故重大停电故障

200020012002200320042005200620072008200920102011年信息安全事件2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月，“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪灾害电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电电力监控系统安全防护实施背景2011年3月，日本9.0级大地震引发海啸导致福岛核电危机3电力监控系统安全防护规定发布

2014年8月1日，国家发改委第14号令《电力监控系统安全防护规定》经发改委主任办公会审议通过，予以公布，自2014年9月1日起施行。原电监会5号令同时废止。电力监控系统安全防护总体方案省级以上调度中心监控系统安全防护方案地县级调度中心监控系统安全防护方案发电厂监控系统安全防护方案变电站监控系统安全防护方案配电监控系统安全防护方案电力监控系统安全防护评估规范444、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区1234电力监控系统安全防护体系电力监控系统安全防护总体方针5电力监控系统安全防护总体方案省以上百万以上调度中心变电站发电厂220KV以上地市县配110KV35KV10KV50万10万1万I区II区管理信息大区生产控制大区电力监控系统安全防护开展情况6电力监控系统安全防护工程增强了抵御集团式网络攻击的能力1控制区2非控制区3信息内网4信息外网5外部因特网被攻政府网站感染病毒木马IP数3471123万被攻162026月均月均电力企业数据网电力调度数据网生产控制大区管理信息大区防火墙非控制区控制区信息内网信息外网纵向认证单向隔离按照四级等保要求强化了电力监控系统纵深安全防护体系，实施后至今未检测到网络攻击。感染病毒木马电力监控系统安全防护实施效果7

2011年1月28日，国调中心组织召开电力监控系统安全防护评估与等级保护示范测评会议，原电监会信息中心，试点单位华北网调、北京市调、北京城区地调、玉泉营变电站及中国电科院、国网电科院等单位相关领导参加了会议，示范测评工作分析了电力监控系统安全防护与等级保护要求之间的对应关系；通过试点评估测评，对《电力监控系统安全防护评估规范》的适用性进行了验证。测评依据：《电力二次系统安全防护规定》（原电监会5号令）《电力监控系统安全防护规定》（国家发改委2014年14号令）《电力二次系统安全防护总体方案》（原电监会34号文）《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》《GB/T25058-2010信息安全技术信息系统安全等级保护实施指南》《GB/T20984-2007信息安全技术信息安全安全评估规范》《信息安全等级保护管理办法》（公通字[2007]43号）《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号）开展试点测评电力监控系统安防护评估规范及等保试点工作8相关发文及要求2012年，原电监会印发《关于组织开展电力二次系统安全防护评估试点工作的通知》（办安全函[2012]191号），要求组织开展电力监控系统安全防护评估和等级保护测评试点工作，两项工作同步开展、一次完成，并根据电力行业实际，遴选国家信息安全等级保护工作协调领导小组办公室推荐且对电力监控系统熟悉的行业内具备资质的测评机构。

各电力企业均在十八前完成文件中规定的评估计划，其中华北区域全部完成，其他区域按要求分三年逐批完成。9全面启动安全评估

2011年4月，召开了电力二次系统安全等级保护评估规范专家研讨会。信息安全等级保护专家委员会主任沈昌祥院士及公安部、原电监会安监局、信息中心等主管单位业内专家和示范单位华北网调、北京市调，测评单位中国电科院、国网电科院参加会议。2014年8月，发改委14号令《电力监控系统安全防护规定》发布；2014年10月，中国电机工程协会召开全国电力安全专家委员会电力二次系统安全防护专家小组会议，修订完成《电力监控系统安全防护评估规范》。

2011年初，受原电监会委托，国调中心组织制订了《电力二次系统安全等级保护测评规范》，规范主要在公安部等级保护系列规范的基础上结合电力监控系统特点明确测评方式方法，分为自测评、检查测评、上线前测评和产品型式安全测评，提出了系统全生命周期各阶段的安全测评要求，并对测评的保密管理和风险控制做出了要求。评估规范编制历程电力监控系统安全等级保护工作10目录二、评估规范主要内容

一、背景情况11

三、等级保护基本要求《电力监控系统安全防护评估规范》《电力行业信息系统安全等级保护基本要求（生产控制类）》电力监控系统安全防护信息安全等级保护电力监控系统安全防护评估规范12电力监控系统等级保护电力监控系统安全防护电力监控系统安全防护与等级保护关系13原电监会印发的《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号），全面梳理、审批了生产控制系统的定级结果。

2012年2月，根据新技术发展趋势和系统形态的变化，国调中心重新梳理系统定级，并报原电监会、公安部等上级主管部门审批备案。

主要调整：（1）变电站自动化系统不再独立定级，而是直接并入上级调度机构调度自动化主站系统中统一定级；（2）新一代电网调度控制系统按照分区功能定级，I区实时监控与预警为四级、II区调度计划与安全校核为三级、III区调度管理为二级。电力监控系统安全保护等级定级对象系统级别省级以上地级及以下能量管理系统（具有SCADA、AGC、AVC等控制功能）43变电站自动化系统（含开关站、换流站、集控站）220千伏及以上变电站为3级，以下为2级火电机组控制系统DCS（含辅机控制系统）单机容量300MW及以上为3级，以下为2级水电厂监控系统总装机1000MW及以上为3级，以下为2级光电场运行监控系统DCS（含辅机控制系统）2核电站分散控制系统DCS（含辅机控制系统）3风电场分散控制系统DCS（含辅机控制系统）2水电厂梯级调度监控系统3风电场监控系统2电能量计量系统32广域相量测量系统（WAMS）3无电网动态预警系统3无调度交易计划系统3无水调自动化系统2调度管理系统2雷电监测系统2电力调度数据网络32通信设备网管系统32通信资源管理系统32综合数据通信网络2故障录波信息管理系统3配电自动化系统3新一代电网调度控制系统的实时监控与预警功能模块43新一代电网调度控制系统的调度计划功能模块32新一代电网调度控制系统的安全校核功能模块32新一代电网调度控制系统的调度管理功能模块214评估规范概要

为规范电力监控系统安全防护评估工作，依据国家颁布的《电力监控系统安全防护规定》（国家发展改革委2014年第14号令）和《信息安全等级保护管理办法》（公通字[2007]43号）及相关配套文件，参照《信息系统安全等级保护基本要求》、《信息安全风险评估规范》等国家标准，结合电力监控系统特点，制定本规范。本规范规定了电力监控系统安全防护评估的总体要求、工作形式、评估内容、评估方法、实施流程和评价标准等，适用于各电力企业电力监控系统的安全防护评估工作。本规范的附录A、附录B、附录C、附录D和附录E是资料性附录，提出了等级保护基本要求与电力监控系统安全防护要求对应关系、定级指导意见、电力监控系统安全防护评估通用流程、评估对象、评估要求和评估报告大纲。各单位可遵循本规范，结合本单位实际情况制订实施细则，指导开展电力监控系统安全防护评估工作。

15评估范围与对象评估范围：规范规定了电力监控系统安全防护评估的总体要求、工作形式、评估内容、评估管理、评估方法、实施流程和评价标准等，适用于各电力企业各级电力监控系统的安全防护评估工作。评估对象：单位电力监控系统省级（含直辖市）及以上电网企业能量管理系统、广域相量测量系统、水调自动化系统、继电保护和故障录波信息管理系统、电能量计量系统、调度管理系统、调度员培训仿真系统、雷电（气象）监测系统、电力调度数据网络等；智能电网调度技术支持系统、一体化电网运行智能系统；地（县）级电网企业能量管理系统、水调自动化系统、继电保护和故障录波信息管理系统、电能量计量系统、电力调度数据网络、负荷管理系统、配网自动化系统等火力发电企业火电机组控制系统DCS（含辅机控制系统）、发电厂SIS、电力调度数据网络、继电保护、安全自动装置等水力发电企业梯级调度监控系统、水电厂监控系统、大坝自动监测系统、电力调度数据网络、继电保护、安全自动装置等核能发电企业核电站监控系统、电力调度数据网络、继电保护、安全自动装置等新能源（风电、光伏）发电企业风电场监控系统、光伏电站监控系统、继电保护、安全自动装置等变电站（含开关站、换流站）变电站（含开关站、换流站）自动化系统、变电站集控系统、继电保护、安全自动装置等16引用标准与规范：《电力监控系统安全防护规定》（国家发展改革委2014年第14号令）《电力监控系统安全防护总体方案》《省级以上调度中心监控系统安全防护方案》《地县级调度中心监控系统安全防护方案》《发电厂监控系统安全防护方案》《变电站监控系统安全防护方案》《配电监控系统安全防护方案》《GB/T20984-2007信息安全技术信息安全风险评估规范》《信息安全等级保护管理办法》（公通字[2007]43号）

《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》《GB/T25058-2010信息安全技术信息系统安全等级保护实施指南》《GB/T28448-2012信息系统安全等级保护测评要求》《GB/T28449-2012信息系统安全等级保护测评过程指南》《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息[2007]34号）《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号）引用标准与规范17评估工作形式：电力监控系统安全防护评估有四种工作形式：自评估、检查评估、上线安全评估和型式安全评估。各种形式评估均应当遵循《电力监控系统安全防护总体方案》及国家等级保护相关要求等规范性文件，在不影响电力监控系统生产业务的基础上实施。

部署了安全等级为“4”和“3”业务系统的安全区，应当由运行单位结合等级保护工作委托评估机构定期开展安全评估工作，检查评估周期最长不超过三年。在此期间，运行单位应当定期组织开展自评估工作，以确保不因系统调整而造成系统安全性降低的情况发生，自评估周期原则上不超过一年。自评估以脆弱性评估为主，评估的项目、要点见附录B。仅部署安全等级为“2”业务系统的安全区，应当由运行单位定期组织开展自评估工作，评估周期最长不超过两年，也可以根据情况委托评估机构开展自评估工作。评估总体要求和工作形式总体要求：电力监控系统安全防护评估工作应当常态化、定期进行。电力监控系统的规划、设计阶段要进行安全评审，建设改造、运行维护和废弃阶段均要进行安全评估，确保系统全生命周期安全性。18评估工作形式：调度机构应当在定期收集、汇总调管范围内各运行单位自评估结果的基础上，自行组织或委托评估机构开展调管范围内电力监控系统的自评估工作。省级以上调度机构的自评估周期最长不超过三年；地级及以下调度机构自评估周期最长不超过两年。能源监管机构可以根据实际情况对各运行单位的电力监控系统或调度机构调管范围内的电力监控系统组织开展检查评估。安全等级为“4”和“3”的电力监控系统在设计、开发完成后，应当委托评估机构进行型式安全评估，安全等级为“2”的应当自行组织开展型式安全评估。各单位安全等级为“4”和“3”的电力监控系统投运前或发生重大变更时，应当委托评估机构进行上线安全评估，安全等级为“2”的应当自行组织开展上线安全评估。检查评估、型式安全评估、上线安全评估主要包括资产识别、威胁分析、脆弱性分析、风险分析和安全建议等，其中脆弱性分析内容不限于附录B，评估方法应符合国家、行业标准规范（注：主要是GB/T20984-2007《信息安全技术信息安全风险评估规范》和14号令相关配套文件），评估报告模板见附录E。评估总体要求和工作形式19电力监控系统安全防护评估工作涉及能源监管机构、上级主管部门、运行单位、调度机构、系统供应商和评估机构等角色。各角色在评估中承担不同的职责。其中受委托开展评估工作的评估机构，其评估人员应当经过能源监管机构培训合格，同时还应当具备国家等级保护评估资质。评估工作角色和职责安全评估相关角色

职责能源监管机构对评估机构的资质进行审核发起检查评估工作监管电力企业的评估开展情况检查或督导评估整改方案落实情况上级主管部门发起下属单位的自评估工作监督下属单位安全评估实施过程检查下属单位安全评估整改方案落实情况运行单位发起本单位的自评估工作参加评估方案等文档的评审工作按照评估规范实施自评估配合检查评估实施工作根据安全评估结果落实整改方案系统投运前及发生重大变更时实施上线安全评估，运行单位总体负责相关工作，可委托评估机构进行评估调度机构发起调管范围内的自评估工作收集、汇总调度管辖范围内各运行单位的自评估结果参加评估方案等文档的评审工作按照评估规范组织实施调管范围内电力监控系统的自评估配合开展调管范围内的检查评估工作根据安全评估结果督促、落实整改方案系统供应商系统设计、开发完成后实施型式安全评估配合完成系统上线的安全评估在运行维护阶段支持、配合安全评估工作配合执行安全评估整改工作评估机构编制安全评估实施方案自行组织评审评估实施方案实施安全评估出具安全评估报告，提出整改建议自行组织评审评估结果20删除了“组织评审评估实施方案、组织评审评估结果”；“监管评估实施过程”修改为“监管电力企业的评估开展情况”删除了“组织评审下属单位安全评估实施方案”，“组织评审下属单位安全评估结果”在实施过程中，评估操作必须遵守电力系统的相关操作章程，以防止敏感信息泄漏和确保及时处理意外事件。（1）操作的申请和监护

安全评估工作本身也会引入安全风险，必须加强安全评估实施过程中的风险控制。电力监控系统安全防护和等级保护评估实施前，应根据确定的评估范围，对评估过程中可能引入的风险进行分析，并制定应对措施。安全评估实施过程的风险控制手段主要包括：（2）操作时间控制对直接涉及电力生产的电力监控系统的评估工作，尽可能避开电力生产敏感时期。（3）制定应急预案根据评估范围界定的电力监控系统情况，在被评估单位的配合下，由评估机构在评估实施前制定应急预案。评估中的风险控制21（4）运行系统模拟环境在对电力关键业务系统评估时，电力企业能够提供备用设备搭建临时模拟测试环境的，应优先考虑模拟真实系统的结构、配置、数据、业务流程，以保证评估的真实性和运行系统的安全、稳定。（5）关键业务系统风险控制对位于生产控制大区内的电力监控系统在无法搭建模拟环境的情况下，原则上不采用评估工具进行评估，采用人工评估的方式进行。评估中的风险控制（6）其他评估实施中，为了防止发生影响系统运行的安全事件，根据评估对象的不同采取相应的风险控制手段。22评估中的保密管理项目实施前，评估机构应当与被评估单位签订保密协议，明确双方的保密责任。（1）签署保密协议

安全评估工作中会涉及到被评估单位的敏感信息，必须高度重视评估中的信息保密工作，加强对评估资料和评估结果的管理，按照国家及被评估单位的相关要求做好保密工作，确保评估机构和人员可靠、稳定和可控，确保评估过程中产生、接触的所有记录、数据与评估结果安全、保密、可控。（2）最小接触原则项目实施工作中，项目组必须接触、使用被评估单位敏感信息时，评估机构应当遵循最小接触原则。仅授权必不可少的人员可接触到相关信息。（3）职业道德评估机构应当保证评估项目参与人员具有良好的职业道德，相关人员无违法犯罪记录，未发生过违反职业道德的情况。23强化了对被评估单位信息的保密管理要求（4）人员保密管理应当确保参与评估项目的人员均与评估机构签署保密协议。项目人员对工作过程中接触、产生的数据以及评估结果应当严格保密，未经授权不得泄露给任何第三方。项目人员不得利用项目过程中接触、产生的数据进行任何侵害被评估单位网络信息系统的行为。（5）设备保密管理评估机构项目组应当根据被评估单位的需要，使用专用的办公设备进行工作，禁止将被评估单位的任何设备带出允许的办公场地，项目完成以后，立即归还。评估中的保密管理（6）文档保密管理评估项目组应当采取加密的方式进行项目组内、项目组与被评估单位间的数据交换。依据被评估单位的要求，评估机构应当对项目有关文档、数据、资料设置保密期，在保密期结束后，应当使用可信的方式彻底销毁有关数据与文件资料。评估机构应当保证不在任何第三方场合与第三方文档中发布或引用被测系统信息。2425针对电力监控系统安全防护的特点，设置如下必须满足的基本要求：（1）安全分区。发电企业、电网企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区Ⅱ）；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应避免形成不同安全区的纵向交叉联接。（2）网络专用。电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共数据网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。基本要求评价标准26（3）横向隔离。在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。（4）纵向认证。在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。

上述任何一项要求未满足即为不合格。

在上述基本要求都满足情况下，参照附录B开展电力监控系统安全防护评估。基本要求评价标准电力监控系统安全防护评估的脆弱性评估主要指标参见附录B（电力监控系统安全防护评估脆弱性评估表）。根据调度端、厂站端分类以及系统的安全保护等级定级不同，评价指标有所区别，总分值也不同。脆弱性评估表类型评估项目类别厂站端系统指标数

（3级、2级）调度端系统指标数（3级、2级）4级技术物理安全151720网络安全131515主机安全181821应用安全171720数据安全及备份恢复677管理安全管理制度888安全管理机构588人员安全管理888系统建设管理888系统运维管理788系统总指标数105114123系统总分值60565570027脆弱性评估表脆弱性评估表包括技术和管理2大方面共10类：28风险分析其中：R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性。风险计算可采用矩阵法或者相乘法，在符合国标要求下不限定计算方法。风险值=R(A,T,V)计算风险值公式：风险计算模型：

风险计算是在完成资产评估、威胁评估和脆弱性评估后，根据资产赋值、资产面临的威胁和存在的脆弱性赋值情况对资产面临的风险进行分析和计算。通过安全事件损失值和安全事件发生可能性计算相应的风险值，并根据风险值确定风险等级。29系统生命周期各阶段的安全评估电力监控系统生命周期包含五个基本阶段：规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。安全防护评估工作贯穿于电力监控系统整个生命周期，其中规划阶段、设计阶段结合规划审查及设计审查进行安全评审，实施阶段、运行维护阶段和废弃阶段进行安全评估。本阶段评审主要是对根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行威胁分析；重点分析系统应该达到的安全目标。规划阶段的评审结果应包含在电力监控系统整体规划中。（1）规划阶段（2）设计阶段设计阶段的安全评审需要根据规划阶段所明确的系统安全目标，对系统设计方案的安全功能设计进行判断，以确保设计方案满足系统安全目标，并作为采购过程风险控制的依据。设计阶段的评审结果最终应体现在系统设计方案中。（3）实施阶段实施阶段安全评估基于设计阶段的资产列表、安全措施以及评估开发过程中对上述要求的保障，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，从而确定上述安全措施能否抵御现有威胁、脆弱性的影响，并对源代码进行安全测评，提高代码安全性。在系统投运前，运行单位应自行组织或委托评估机构对系统进行上线安全评估。实施阶段安全评估主要对系统的开发与技术或产品获取、系统交付实施两个过程进行评估。实施阶段的安全评估和相应的整改工作应在系统投运前完成，并提交上级主管部门评审和审查，并报国家相关部门备案。30系统生命周期各阶段的安全评估运行维护阶段安全评估的目的是掌握和控制电力监控系统运行过程中的安全风险，包括在线运行电力监控系统资产、威胁、脆弱性等各方面评估，是一种较为全面的安全评估。运行维护阶段的安全评估应常态化开展。电力监控系统业务流程、系统状况发生重大变更时，也需要进行安全评估。（4）运行维护阶段（5）废弃阶段电力监控系统的废弃阶段重点分析废弃资产对组织的影响，对由于系统废弃可能带来的新的威胁进行分析。31安全类别等保要求电力监控系统安全防护要求评估关键点物理安全位置选择、访问控制、防盗防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护按照安全分区的原则，将不同重要程度的设备置于各安全区域内，对重要设备采取电磁屏蔽措施。其防护强度等同于等级保护要求。四级系统采取电磁屏蔽措施，重要设备（SCADA服务器、前置机、通信机）放置于电磁屏蔽机柜内；按照设备、操作间进行机房物理区域划分，按安全分区摆放机柜；四级系统要采用两道门禁。网络安全结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防护、网络设备防护电力监控系统遵循“安全分区、网络专用、横向隔离、纵向认证”的防护原则，将电力监控系统分置于生产控制大区和管理信息大区，在两个大区之间部署横向单向隔离装置，在生产控制大区专用的调度数据专用网络边界部署纵向加密认证装置，形成栅格状安全防护体系架构，其防护强度等同于等级保护要求。专网专用；安全分区；横向边界部署返回1比特的新型横向隔离装置；纵向边界部署纵向加密认证装置，配置IP+限定端口的控制策略，对端有装置的启用密通功能。防护与等级保护基本要求对照32安全类别等保要求电力监控系统安全防护要求评估关键点主机安全身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制新一代智能电网调度技术支持系统采用国产设备，国产安全操作系统提高了安全防护水平，同时满足等级保护要求。其防护强度等同于等级保护四级要求。对原有系统按照《电力监控系统安全加固规范》进行安全加固，并通过加强运维管理保障主机及操作系统安全。新系统采用国产设备、国产安全操作系统、国产安全数据库；各个层面的口令均应杜绝7位以内弱口令；对原有系统进行安全加固。应用安全身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制新一代系统采用基于调度数字证书及安全标签的一体化基础平台，实现安全访问控制可信可控。其防护强度等同于等级保护要求。原有系统在安全加固的基础上，加强访问控制措施和对内部人员的管理措施，以提升其安全防护水平。使防护强度基本等同于等级保护要求。新系统采用基于调度数字证书及标签的安全认证；各个层面的口令均应杜绝7位以内弱口令；加强对原有系统及人员的日常管理。防护与等级保护基本要求对照33安全类别等保要求电力监控系统安全防护要求评估关键点数据安全及备份恢复数据完整性数据保密性备份和恢复电力监控系统从数据层面、系统层面和调度业务层面三个层面均要求实现备用，以此为基础建立备用调度体系，实现全面的电力监控系统安全备用机制，其防护强度等同于等级保护要求实现数据级备用；实现自动化系统及功能备用；实现调度业务及人员备用。安全管理制度管理制度、制定和发布、评审和管理建立了电力监控系统安全防护相关管理制度，依照“谁主管谁负责，谁运营谁负责”的原则，与调度安全性评价相结合，常态化开展管理工作。制定电力监控系统安全防护管理制度。安全管理机构岗位设置、人员配备、授权和审批、沟通和合作、审核和检查成立了电力监控系统安全防护领导小组，建立安全工作协调机制，明确职责分工。调度部门的安全管理人员专人专岗。建立电力监控系统安全管理机构。34防护与等级保护基本要求对照安全类别等保要求电力监控系统安全防护要求评估关键点人员安全管理人员录用、人员离岗、人员考核、安全意识教育和培训、外来人员访问管理要求对电力监控系统安全防护专职人员定期进行培训和考核。同时建立保密制度，加强保密教育，提高安全防护意识，并与相关人员签署保密协议。加强对外来人员的管控，强化出入管理核查。定期培训；签署保密协议；外来人员管控。系统建设管理系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择制定了针对电力监控系统专用安全产品和业务系统的开发单位及供应商的管控措施，对自主开发的软件进行严格管理防止关键技术扩散。加强安全产品和业务系统的开发单位及供应商的管控措施；与开发单位及供应商签署保密协议。系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码管理、密码管理、变更管理、备份与恢复、安全事件处置、应急预案管理制定电力监控系统日常安全管理制度，制定了二次系统的应急处理预案。制定安全运维管理制度；制定二次系统的应急预案。35防护与等级保护基本要求对照评估报告大纲36目录二、评估规范主要内容

一、背景情况37

三、等级保护基本要求2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),明确要求开展等级保护建设工作。2007年，公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合印发《信息安全等级保护管理办法》，规范信息安全等级保护定级备案、建设和测评工作，并制定了《信息系统安全等级保护基本要求》等一系列等级保护国家标准，指导等级保护工作。2007年起，原电监会印发了《电力行业网络与信息安全监督管理暂行规定》、《关于开展电力行业信息系统安全等级保护定级工作的通知》等系列文件，全面推进信息安全等级保护建设工作。编制背景——《电力行业信息系统安全等级保护基本要求》基于国家《信息安全技术信息系统安全等级保护基本要求》，在总体上，行业要求不低于国家要求。——以《电力行业网络与信息安全监督管理暂行规定》、《电力二次系统安全防护规定》为依据，在《电力行业信息系统安全等级保护基本要求》中充分贯彻，以便和行业现有安全防护工作相衔接。——适应电力行业总体上将信息系统分为管理信息和生产控制两大类的基本事实，对国家《信息系统安全等级保护基本要求》进行必要调整，具体由通用要求、管理类信息系统基本要求和生产控制类信息系统基本要求三部分组成。编制背景能力目标要求分类总体概述应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）、以及其他相当危害程度的威胁所造成的关键资源损害，并在威胁发生后，能够恢复部分功能。第一级安全保护能力应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）、以及其他相当危害程度（无意失误、设备故障等）的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第二级安全保护能力能力目标要求分类应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。第三级安全保护能力应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能。第四级安全保护能力总体概述能力目标要求分类

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为总体要求、基本技术要求和基本管理要求三大类；结合电力行业特点，将等级保护基本要求划分为管理类信息系统要求和生产控制类信息系统要求。总体要求与各个单位的总体安全策略相关，主要通过落实总体安全策略直接导出的、所有信息系统必须遵从的总体安全防护要求来体现。技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。总体概述能力目标要求分类基本要求管理类信息系统要求生产控制类信息系统要求总体要求基本技术要求基本管理要求总体要求基本技术要求基本管理要求类控制点要求项类控制点要求项………………………………类控制点要求项类控制点要求项总体概述能力目标要求分类7.1技术要求7.1.1物理安全

物理位置的选择本项要求包括a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。类控制点要求项总体概述业务信息安全相关要求（标记为S）系统服务保证相关要求（标记为A）通用安全保护要求（标记为G）技术要求（3种标注）管理要求（统属G）控制点标注总体概述业务信息安全相关要求（S）电磁防护访问控制数据完整性数据保密性系统服务保证相关要求（A）电力供应软件容错备份与恢复资源控制通用安全保护要求（G）管理要求和大部分技术要求控制点标注总体概述逐级增强的特点控制点增加要求项增强要求增多范围增大要求细化或粒度细化总体概述逐级增强的特点三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。四级基本要求：在三级基本要求的基础上，技术方面，在系统和应用层面控制点上增加了安全标记、可信路径。总体概述逐级增强的特点要求项增多，如，对“身份鉴别”，一级要求“进行身份标识和鉴别”，二级增加要求“口令复杂度、登录失败保护等”；而三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加，要求增强。范围增大，如，对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”；而三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。总体概述

对比国标可见，电力行业等级保护要求中针对管理类信息系统指标共有117项差异，针对生产控制类信息系统共有218项差异，合计360项。等级管理类信息系统生产控制类信息系统合计总技总管要求项总技总管要求项新增532310456101增强————42————112154细化————39————2968落实————16————2137合计53120104218360与国标的差异1、新增：电力生产企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区，生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区Ⅱ）；（新增）2、增强：身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。应修改默认用户和口令，不得使用缺省口令，口令长度不得小于8位，要求是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换，并加密存储；（增强）3、细化：应对安全管理活动中各类管理内容建立安全管理制度：门禁管理、人员管理、权限管理、访问控制管理、防尾随管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等日常管理制度。（细化）4、落实：审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；系统不支持该要求的，应以系统运行安全和效率为前提，采用第三方安全审计产品实现审计要求；（落实）与国标的差异总体技术要求电力生产企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区，生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区Ⅱ）；生产控制大区网络与管理信息大区网络应物理隔离；两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置，确保单向隔离装置策略配置安全有效，禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务；在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，确保纵向加密认证装置策略配置安全有效，实现双向身份认证、数据加密和访问控制；电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与其它数据网及外部公共信息网的安全隔离；控制区的信息系统数据通信应使用电力调度数据网的实时子网或专用通道进行传输，非控制区的信息系统数据通信应使用电力调度数据网的非实时子网；控制区与非控制区之间应采用国产防火墙，或采用具有访问控制功能的设备进行隔离；二级系统统一成域，三级系统可独立成域或统一成域；（新增）与国标的差异总体技术要求三级及以上系统域由独立子网承载，每个域有唯一网络出口，可在网络出口处部署满足相应等级要求的等级保护专用装置为系统提供整体安全防护；省级以上及有实际业务需要的地区调度中心的电力监控系统、电力调度数据网上的关键应用、关键用户和关键设备应使用电力调度数字证书系统实现身份认证、安全数据传输及鉴权；生产控制大区所部署的安全审计系统，可对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。总体管理要求如果本单位生产控制大区仅有一级信息系统时，通用管理要求等同采用一级；如果本单位生产控制大区含有二级及以下等级信息系统时，通用管理要求等同采用二级；如果本单位生产控制大区含有三级及以下等级信息系统时，通用管理要求等同采用三级；如果本单位生产控制大区含有四级及以下等级信息系统时，通用管理要求等同采用四级。与国标的差异与国标的差异访问控制：1、应按用户和系统之间的允许访问规则，边界的网络控制设备决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。禁止以VPN方式接入网络。确需以拨号方式接入的，应采用强认证方式，并对用户访问权限进行严格限制；（增强）2、生产控制大区的拨号访问服务，服务器均应使用经安全加固的达到国家相关等级保护要求的操作系统，客户端应使用